Internet Systems Consortium

Internet Systems Consortium (ISC)は6月4日(米国時間)、セキュリティ対策を目的としたBINDの最新版を公開した。BINDはもっとも広く採用されているDNSサーバのひとつ。今回の更新で対応される脆弱性はBIND 9系のすべてのバージョンに影響するCVE-2012-1667。

この脆弱性を対処したBINDはBIND 9.9.1-P1、BIND 9.8.3-P1、BIND 9.7.6-P1、BIND 9.6-ESV-R7-P1の4つ。9.9系および9.8系と9.7系はプロダクションリリースの最新版で、9.6系はエクステンデッドサポートとしてのリリースとなる。

この脆弱性を利用されると、RDATAフォールドの長さが0のDNSリソースレコードを処理するネームサーバ(named)が異常停止する可能性があるという。この脆弱性はリモートから攻撃することが可能で、ISCはこの脆弱性の緊急度を「重大」に設定している。

この問題を一時的に回避する方法は現在検討中とされており、アップグレード以外の対策は提供されていない。まだ攻撃されたという事例は報告されていないが、該当するバージョンのBINDユーザは速やかに対処することが望まれる。